اپل ۱۶ رابط برنامهنویسی کاربردی را بهخاطر مشکلات حریم خصوصی در سافاری مسدود کرد
اپل اعلام کرد که اجازهی بهکارگیری ۱۶ رابط برنامهنویسی کاربردی (API) وب را در سافاری صادر نمیکند. شرکت اعتقاد دارد این رابطها با ساختن پروفایل اختصاصی از رفتار و سابقهی فعالیت کاربر (Fingerprint)، حریم خصوصی آنها را تهدید میکنند. فناوریهایی که بهخاطر تهدید حریم خصوصی ازسوی اپل رد شدند، شامل موارد زیر میشوند:
- Web Bluetooth: به وبسایتها امکان میدهد تا به دستگاههای مجاور مجهز به Bluetooth LE متصل شوند.
- Web MIDI API: به وبسایتها امکان میدهد تا به دستگاههای MIDI دسترسی داشته باشند.
- Magnetometer API: به وبسایتها امکان میدهد تا به دادههایی پیرامون میدان مغناطیسی اطراف کاربر دسترسی پیدا کنند. این دادهها توسط حسگرهای مغناطیسی دستگاه کاربر ارائه میشوند.
- Web NFC API: به وبسایتها امکان میدهد تا با استفاده از ابزار خواندن NFC با برچسبهای NFC ارتباط برقرار کنند.
- Device Memory API: امکان محاسبهی حدودی حافظهی دستگاه کاربر را به وبسایت میدهد.
- Network Information API: اطلاعاتی پیرامون اتصالی میدهد که دستگاه برای ارتباط با شبکه استفاده میکند. بهعلاوه این امکان را ایجاد میکند که درصورت تغییر اتصال اینترنتی کاربر، به اسکریپتها اطلاعرسانی شود.
- Battery Status API: امکان دریافت اطلاعات وضعیت باتری دستگاه کاربر را به وبسایت میدهد.
- Web Bluetooth Scanning: به وبسایتها امکان میدهد تا محیط اطراف دستگاه را برای پیدا کردن تجهیزات دارای Bluetooth LE اسکن کنند.
- Ambient Light Sensor: وبسایتها با استفاده از آن میتوانند سطح روشنایی نور محیطی اطراف دستگاه کاربر را با استفاده از حسگرهای داخلی دستگاه دریافت کنند.
- HDCP Policy Check extension for EME: به وبسایتها امکان میدهد تا چارچوبهای HDCP را بررسی کنند که در پخش محتوای رسانهای و استریم استفاده میشود.
- Proximity Sensor: وبسایت میتواند با استفاده از این رابط، دادههایی پیرامون فاصلهی دستگاه کاربر با یک جسم مجاور دریافت کند که توسط حسگر مجاورت دستگاه ارائه میشود.
- WebHID: به وبسایت امکان میدهد تا اطلاعاتی پیرامون دستگاههای محلی HID (مخفف Human Interface Device) جمعآوری کند.
- Serial API: امکان نوشتن و خواندن داده را در رابطهای سریالی به وبسایت میدهد. این رابطها عموما توسط دستگاههایی همچون میکروکنترلرها و پرینترهای سهبعدی استفاده میشوند.
- Web USB: این رابط برنامهنویسی امکان ارتباط وبسایت با دستگاههای متصل به پورت USB را فراهم میکند.
- Geolocation Sensor: نسخهای مدرنتر از رابط برنامهنویسی کاربردی Geolocation API که امکان دسترسی بهتر به دادههای جغرافیایی را به وبسایت میدهد.
- User IDle Detection: رابط کاربری که به وبسایت امکان میدهد تا توقف فعالیت کاربر را شناسایی کند.
رابطهای برنامهنویسی به تبلیغکننده امکان میدهند تا برای هر کاربر اثر انگشت آنلاین بسازد
اپل ادعا میکند که ۱۶ رابط بالا، به تبلیغدهندههای آنلاین و تحلیلگران داده امکان میدهند تا اسکریپتهایی برای ساختن یک پروفایل اختصاصی از هر کاربر و دستگاههای او، توسعه دهند. تبلیغکنندههای دیجیتال عموما اسکریپتهای کوچکی را برای ساختن یک اثر انگشت منحصربهفرد برای کاربر به کار میگیرند که در مرورگر او پیاده میشود. اسکریپها فعالیت استاندارد ثابتی دارند و از API مرسوم وب یا قابلیتهای مرسوم یک مرورگر بهره میبرند. آنها سپس با دریافت واکنش رابط برنامهنویسی، اطلاعات موردنیاز خود را جمعآوری میکنند.
هر کاربر وبسایت، مرورگر و سیستمعامل منحصربهفرد خود را دارد و پیکربندی سیستمها نیز با هم تفاوت خواهد داشت. درنتیجه پاسخی که از سمت هر کاربر به رابط برنامهنویسی ارسال میشود، منحصربهفرد خواهد بود. تبلیغکنندهها با استفاده از همین واکنش منحصربهفرد (شبیه به اثر انگشت) و ترکیب آن با دیگر دادههای منحصربهفرد کاربر از منابع دادهای متفرقه، بهنوعی شخصیت هر فرد را بهخوبی شناسایی میکنند.
در سه سال گذشته، استفاده از اثر انگشت آنلاین کاربران به ابزار مرسومی برای تبلیغدهندهها تبدیل شد تا کاربران را بهراحتی در بازار تبلیغات آنلاین و محصولات فناورانه، ردگیری کنند. استفاده از اثر انگشت از آنجایی اوج گرفت که مرورگرها بهمرور قابلیتهایی جهت جلوگیری از ابزارهای ردگیری دیگر توسعه دادند. کوکیهای سومشخص که قبلا برای ردگیری کاربران استفاده میشدند، امروز دیگر کارایی زیادی ندارند.
برخی از توسعهدهندههای مرورگر، ابزارهای مقابلهای را توسعه دادهاند تا فعالیتهای ساختن اثر انگشت از سابقهی کاربر را متوقف کنند. برخی رویکردهای مرسوم که از قابلیتهای مشهور وب استفاده میکردند (مانند فونت و HTML5 canvas و WebGL) اکنون در بسیاری از مرورگرها مسدود میشوند، اما هنوز سهم عمدهای از ابزارهای ساختن اثر انگشت آنلاین کاربر، به فعالیت خود ادامه میدهند. بهعلاوه، با اضافه شدن APIهای جدید توسط سازندههای مرورگر به ساختار کلی مرورگرها، ابزارهای جدیدی هم برای ردگیری کاربران توسعه پیدا میکند.
درحالحاضر اپل ۱۶ رابط برنامهنویسی بالا را بهعنوان بدترین تهدیدها علیه حریم خصوصی کاربران مطرح میکند. البته بههرحال آنها گفتهاند که اگر هریک از رابطها، قابلیتهای ساختن اثر انگشت را در کدهای زیرساختی خود کاهش دهند، شاید مجددا برای ورود به سافاری مجوز پیدا کنند. اپل در بیانیهای پیرامون تصمیم جدید گفت: «اولین خط دفاعی WebKit در برابر ساختن اثر انگشت آنلاین این است که قابلیتهای وب با امکان افزایش احتمال ساختن اثر انگشت را در مرورگر پیادهسازی نکند. این قابلیتها، هیچ راه امنی هم برای حفاظت از کاربر ارائه نمیکنند».
اپل از سالها پیش، از رابطهای برنامهنویسی متعددی در سافاری پشتیبانی میکند. آنها ادعا میکنند که در بهروزرسانیهای متعدد، توانایی APIهای قدیمی به ساختن اثر انگشت از رفتار کاربر را کاهش دادهاند. در ادامه، برخی از فعالیتهای اپل در این مسیر را میخوانید:
- حذف پشتیبانی از فونتهای اختصاصی. یعنی فونتهای یکسانی برای تمامی کاربران یک سیستم مشخص ارائه میشود.
- حذف اطلاعات بهروزرسانی نرمافزاری جزئی از رشتهی اطلاعاتی کارگزار کاربر. این رشته اکنون تنها با تغییر نسخهی پلتفرم و مرورگر تغییر میکند.
- حذف برچسب Do Not Track که بهتنهایی بهعنوان یک المان برای ساختن اثر انگشت استفاده میشد. درنتیجه کاربری که آن را فعال کرده بود، یک مشخصهی منحصربهفرد داشت.
- حذف پشتیبانی از افزونهها در سیستمعامل مک. البته شاید در محیطهای دیگر از افزونه پشتیبانی شود. سافاری در iOS هم هیچگاه از افزونه پشتیبانی نکرده است.
- درخواست مجوز از کاربر برای اجازه دادن به وبسایت برای دسترسی به Orientation/Motion API در دستگاههای موبایل. چون حالت فیزیکی دستگاه و حسگرهای حرکتی را میتوان برای ساختن اثر انگشت به کار گرفت.
- جلوگیری از ساختن اثر انگشت با دریافت اطلاعات از دوربینها و میکروفنهای متصل به دستگاه کاربر که با حذف رابط برنامهنویسی WebRTC انجام شد.
تصمیم جدید اپل برای مرورگر اختصاصی، اگرچه تمرکز بالای شرکت را روی حریم خصوصی کاربران نشان میدهد، اما شاید در عملکرد برخی از وبسایتها اختلال ایجاد کند. بههرحال کوپرتینوییها همیشه نشان دادهاند که حریم خصوصی کاربر را در اولویت اول خود در دستور کار قرار میدهند و شاید از تأثیر بر تجربهی کاربری او هم ابایی نداشته باشند.